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Antwort 

der Bundesregierung 
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Dr. Michael Espendiller und der Fraktion der AfD 
- Drucksache 19/8650 - 


Sicherstellung der technischen Integrität der künftigen 5G-Mobilfunkinfrastruktur 


Vorbemerkung der Fragesteller 

Laut Medienberichten gab es Anfang Februar 2019 (www.handelsblatt.com/ 
politik/deutschland/5g-ausbau-bnd-und-auswaertiges-amt-warnen-vor-chinas- 
macht-ueber-huawei/23991388.html) Treffen der außen-, wirtschafts- und digi¬ 
talpolitischen Obleute des Deutschen Bundestages mit verschiedenen Bundes¬ 
behörden, darunter insbesondere der Bundesnachrichtendienst (BND), in denen 
aktuelle Erkenntnisse über sicherheitsrelevante Informationen über den Aufbau 
des künftigen 5G-Mobilfunknetzes in Deutschland präsentiert wurden. 

Weitere Informationen sollen Regierungsbeamten, Parlamentariern und ausge¬ 
wählten Empfängern in Form eines Papiers des Mercator Institute for China 
Studies (MERICS) vorgelegt worden sein (www.handelsblatt.com/politik/ 
deutschland/huawei-konflikt-studie-zu-5g-warnt-vor-chinesischer-netzwerk 
technologie/24024110.html). 


1. Liegen der Bundesregierung, insbesondere durch Informationen des BND 
oder auch anderer nachgeordneter Behörden, Infonnationen über einen kon¬ 
kreten Sicherheitsvorfall („smoking gun“) mit Huawei-Hardware vor? 

Der Bundesregierung liegen keine Informationen über einen konkreten Sicher¬ 
heitsvorfall mit Huawei-Hardware vor. 


2. Liegen dem Bundesnachrichtendienst nähere Informationen zu den NSA- 
Operationen „Parody Blowup“ oder „Shotgiant“ aus den Jahren 2006 und 
2009 vor, die Huawei als „einzigartige Bedrohung“ beschreiben (www.zeit. 
de/2019/09/huawei-mobiles-intemet-5g-china-spionageverdacht-konzem)? 

Dem BND liegen keine über die Presseberichterstattung hinausgehenden Infor¬ 
mationen zu den NSA-Operationen „Parody Blowup“ und „Shotgiant“ aus den 
Jahren 2006 und 2009 vor. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, fiir Bau und Heimat 
vom 18. April 2019 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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3. Welche Schlussfolgerungen zieht die Bundesregierung aus der Einschätzung 
des Mercator Institute for China Studies (MERICS), dass sich weder Huawei 
noch andere chinesische Konzerne dem Einfluss des chinesischen Staates, 
insbesondere auf Basis des am 1. Mai 2015 in Kraft getretenen Staatssicher¬ 
heitsgesetzes, aus Gründen der Nationalen Sicherheit entziehen können 
(www.golem.de/news/huawei-wartungsschnittstellen-sind-keine-hintertueren- 
1902-139554.html)? 

4. Welche Schlussfolgerungen zieht die Bundesregierung aus der Einschätzung 
des Mercator Institute for China Studies (MERICS), dass auch die tatsächli¬ 
che Rechts- und Verwaltungspraxis in China nicht dafür spricht, im Bereich 
kritische Infrastruktur und Daten vertrauensvoll mit chinesischen Unterneh¬ 
men Zusammenarbeiten zu können (www.golem.de/news/huawei-wartungs- 
schnittstellen-sind-keine-hintertueren-1902-139554.html)? 

Die Fragen 3 und 4 werden gemeinsam beantwortet. 

Bei der Definition von Sicherheitsanforderungen für Telekommunikationsnetze 
lässt die Bundesregierung alle sicherheitsrelevanten Infonnationen einfließen. 

Der Bundesregierung sind die Gesetzgebung sowie Rechts- und Verwaltungspra¬ 
xis der Volksrepublik China bekannt. 


5. Priorisiert die Bundesregierung entweder einen schnellen Ausbau des 5G- 
Mobilfunknetzes in Deutschland oder die Verwendung sicherer Soft- und 
Hardwarekomponenten, welche Gründe legt die Bundesregierung ihrer Ent¬ 
scheidung zugrunde, und welche Folgerungen ergeben sich aus dieser Prio- 
risierung für die Bundesregierung? 

Die Bundesregierung erwartet, dass die Basisstationen der fünften Genera¬ 
tion (5G) zunächst auf den Netzen der vierten Generation aufbauen werden (so¬ 
genannte 5G Non-Standalone-Netze) und die Mobilfünknetzbetreiber den Aus¬ 
bau zu Netzen mit vollem Leistungsumfang (sogenannte 5G Standalone-Netze) 
bedarfsorientiert über mehrere Jahre vornehmen werden. Zudem haben die Mo¬ 
bilfunknetzbetreiber bereits heute auf Grundlage von § 109 Absatz 4 des Tele¬ 
kommunikationsgesetzes (TKG) Sicherheitskonzepte zu erstellen, um Gefähr¬ 
dungen wirksam zu begegnen. Grundlage für die Sicherheitskonzepte ist ein Ka¬ 
talog von Sicherheitsanforderungen, den die Bundesnetzagentur im Einverneh¬ 
men mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bun¬ 
desbeauftragten für den Datenschutz und die Informationsfreiheit erstellt. 

Am 7. März 2019 hat die Bundesnetzagentur die Eckpunkte für eine Erweiterung 
des Katalogs an Sicherheitsanforderungen für den Betrieb von Telekommunika¬ 
tionsnetzen im Hinblick auf den Ausbau der 5G-Netze veröffentlicht (www. 
bundesnetzagentur.de/sicherheitsanforderungen). Die Netzbetreiber müssen im 
Rahmen ihrer Sicherheitskonzepte zukünftig die erweiterten Sicherheitsanforde¬ 
rungen erfüllen. 


6. Mit welchen zusätzlichen Kosten für den Aufbau der 5G-Infrastruktur rech¬ 
net die Bundesregierung bei einem Ausschluss von Huawei und dem Ersatz 
von Huawei-Produkten durch andere Hersteller? 

Zu den Kosten des 5G-Netzausbaus kann die Bundesregierung keine belastbaren 
Aussagen treffen. 
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7. Nach welchen spezifischen Kriterien des Katalogs von Sicherheitsanforde¬ 
rungen nach § 109 des Telekommunikationsgesetzes (TKG) beabsichtigt die 
Bundesregierung die geplante Vertrauenswürdigkeitsprüfung von Herstel- 
ler-„Ländem“ durchzuführen, und welche weiteren Kriterien sollen im Rah¬ 
men der geplanten Gesetzesänderung des TKG (www.golem.de/news/tkg- 
aenderung-regierung-plant-angeblich-knebelgesetz-fuer-huawei-1902-1393 
60.html) dazu noch in den § 109 aufgenommen werden? 

Betreiber von öffentlichen Telekommunikationsnetzen sind verpflichtet, techni¬ 
sche Schutzmaßnahmen nach § 109 TKG umzusetzen. Hierzu hat die Bundes¬ 
netzagentur in Abstimmung mit dem BSI erste Eckpunkte für eine Überarbeitung 
des Katalogs an Sicherheitsanforderungen erstellt und veröffentlicht. Diese sehen 
eine Überprüfung von kritischen Kemkomponenten von beim BSI anerkannten 
Prüfstellen und eine Zertifizierung durch das BSI vor. Details zur Ausgestaltung 
sind in der Bearbeitung. 

Im Zuge des Aufbaus von 5G-Netzen ist auch geplant, im Rahmen der laufenden 
Novellierung des Telekommunikationsgesetzes § 109 TKG zu überarbeiten und 
um zusätzliche verbindliche Sicherheitsanforderungen zu ergänzen. 

Ferner ist eine Änderung des Gesetzes über das Bundesamt für Sicherheit in der 
Informationstechnik, mit Regelungen für Kritische Infrastrukturen und die Ver¬ 
trauenswürdigkeit von Komponenten beabsichtigt, die in kritischen Infrastruktu¬ 
ren zum Einsatz kommen. Kritische Kemkomponenten, die in Kritischen Infra¬ 
strukturen eingesetzt werden, sollen nur von vertrauenswürdigen Lieferan- 
ten/Herstellem bezogen werden dürfen. Diese Verpflichtung soll für die gesamte 
Lieferkette gelten. Der Nachweis der Vertrauenswürdigkeit wird im Rahmen der 
Zertifizierung nach den Vorgaben des § 9 des Gesetzes über das Bundesamt für 
Sicherheit in der Informationstechnik zu erbringen sein. 


8. In welcher Form soll die in dem Antrag der Fraktion der AfD „Schutz der 
Kritischen 5G-Infrastruktur vor staatsnahen Netzwerkausrüstern“ (Bundes¬ 
tagsdrucksache 19/7723) aufgestellte Forderung nach einer Beweislastum¬ 
kehr für Netzwerkausrüster gesetzgeberisch und exekutiv umgesetzt werden, 
und bis wann? 

Um konkrete Anforderungen des zukünftigen Katalogs an Sicherheitsanforderun¬ 
gen nach § 109 Absatz 6 TKG auch auf Gesetzesebene abzusichem, plant die 
Bundesregierung im Rahmen der laufenden Novelle eine entsprechende Ände¬ 
rung des § 109 TKG. 

9. Werden derzeit durch das Bundesamt für Sicherheit in der Informationstech¬ 
nik (BSI) oder andere Bundesbehörden im Rahmen von Zertifizierungsver- 
fahren kontinuierliche und vollumfängliche Prüfungen sämtlicher Hard- und 
Software-Updates für 2G-, 3G- und 4G-Netze durchgeführt? 

Wenn nein, warum nicht? 

Es wurden durch das BSI keine kontinuierlichen und vollumfanglichen Prüfun¬ 
gen von 2G-, 3G- und 4G-Netzwerkkomponenten durchgeführt, da das BSI hier¬ 
für keine gesetzliche Aufgabe hat. Allgemeine Netzwerkkomponenten, die auch 
in 2G-, 3G-, 4G- und 5G-Infrastrukturen eingesetzt werden, werden auf Herstel¬ 
lerantrag nach den Common Criteria zertifiziert. 

Auch die Bundesnetzagentur führt Prüfungen der beschriebenen Art derzeit nicht 
durch. Der Bundesnetzagentur sind vielmehr von Betreibern öffentlicher Tele¬ 
kommunikationsnetze und ggf. auch von Erbringern öffentlich zugänglicher Te- 
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lekommunikationsdienste nach § 109 Absatz 4 TKG bestimmte Sicherheitskon¬ 
zepte über technische Schutzmaßnahmen vorzulegen, deren Umsetzung von der 
Bundesnetzagentur regelmäßig geprüft wird. 


10. Sind solche kontinuierlichen und vollumfänglichen Prüfungen sämtlicher 
Hard- und Software-Updates im Rahmen von Zertifizierungsverfahren auch 
für das 5G-Netz geplant? 

Es wird auf die Antwort zu Frage 7 verwiesen. 


11. Hält die Bundesregierung die in dem Antrag der Fraktion der AfD „Schutz 
der Kritischen 5G-Infrastruktur vor staatsnahen Netzwerkausrüstem“ (Bun¬ 
destagsdrucksache 19/7723) aufgestellte Forderung, das „BSI mit entspre¬ 
chenden Ressourcen auszustatten, sämtliche Programmecode-Updates vor 
deren Installation umfassend zu prüfen und zu zertifizieren“, für realistisch 
und zielführend, und wird die Bundesregierung diese Forderung umsetzen? 

12. Wie bewertet die Bundesregierung die Aussage des BSI-Präsidenten Arne 
Schönbohm, das BSI könne jedes einzelne von Huawei verbaute Gerät und 
jedes Software-Update vor Inbetriebnahme prüfen, (www.zeit.de/20 19/09/ 
huawei-mobiles-intemet-5g-china-spionageverdacht-konzem) im Hinblick 

13. Wie viele von Huawei verbaute Geräte und wie viele Software-Updates pro 
Zeiteinheit legt BSI-Präsident Ame Schönbohm dieser Aussage zugrunde? 

Die Fragen 11 bis 13 werden gemeinsam beantwortet. 

Grundsätzlich ist es möglich, bei ausreichender Ressourcenlage sicherheitstech¬ 
nisch relevante Updates kritischer Systemkomponenten vor der Installation zu 
prüfen. Zudem wird auf die Antwort zu Frage 7 verwiesen, wonach die Fieranzie¬ 
hung von beim BSI anerkannten Prüfstellen geplant wird. 

14. Welche personellen (bitte Anzahl der Personalstellen in Vollzeitäquivalen¬ 
ten angeben), technischen (bitte Anzahl Laborgeräte, Server etc. angeben), 
finanziellen (bitte in Tausend Euro angeben) und organisatorischen (bitte 
Konzepte zur Organisationsgestaltung, z. B. in Form einer besonderen Auf¬ 
bauorganisation - BAO -, Verantwortlichkeiten, Prüfabläufen etc. angeben) 
Voraussetzungen sind für die Umsetzung der von BSI-Präsident Schönbohm 
angekündigten Huawei-Pmfungen erforderlich, und bis wann, und in wel¬ 
chem Aufwuchszeitraum (bitte in Personenmonaten angeben) können diese 
Voraussetzungen geschaffen werden? 

Die Planungen des BSI bezüglich Produktprüfungen orientieren sich an den von 
der BNetzA veröffentlichten Eckpunkten zum Katalog nach § 109 TKG (www. 
bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/20 19/201903 07_IT 
Sicherheitskatalog.html?nn=265778). Rahmenbedingungen, wie beispielsweise 
die Definition des Umfangs der zu prüfenden Produktklassen, sind noch nicht in 
einer zur Beantwortung dieser Frage notwendigen Detailtiefe festgelegt worden. 
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15. Sieht die Bundesregierung Handlungsbedarf hinsichtlich einer EU-rechtli¬ 
chen Harmonisierung des § 109 TKG, um eine einheitliche Rechtsgrundlage 
für ein konsolidiertes europäisches Vorgehen zum Schutz kritischer Tele¬ 
kommunikationsinfrastrukturen zu schaffen? 

Wenn nein, warum nicht? 

Zur Sicherheit und Integrität von Netzen und Diensten bestehen mit den Arti¬ 
keln 13a und 13b der Richtlinie 2009/140/EG zur Änderung der Richtlinie 
2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommu¬ 
nikationsnetze und -dienste, der Richtlinie 2002/19/EG über den Zugang zu elekt¬ 
ronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren 
Zusammenschaltung und der Richtlinie 2002/20/EG über die Genehmigung 
elektronischer Kommunikationsnetze und -dienste Harmonisierungsvorgaben auf 
EU-Ebene. 

Diese Vorgaben wurden mit § 109 Absatz 4, 5 und 7 TKG in nationales Recht 
umgesetzt (Bundestagsdrucksache 17/5707, S. 83). § 109 TKG leitet sich daher 
bereits jetzt in wesentlichen Teilen aus EU-Vorgaben ab. 

Mit der anstehenden Umsetzung der Richtlinie (EU) 2018/1972 über den europä¬ 
ischen Kodex für die elektronische Kommunikation (hier v. a. Artikel 40 und 41) 
wird das TKG entsprechend den neuen Harmonisierungsvorgaben angepasst wer¬ 
den. 

Die Bundesnetzagentur ist zudem initiativ, um die diesbezügliche inhaltliche 
Ausgestaltung mit der Europäischen Agentur für Netz- und Informationssicher¬ 
heit (ENISA) und den anderen Mitgliedstaaten und damit eine möglichst harmo¬ 
nisierte Anwendung voranzutreiben. 


16. Welche Möglichkeiten sieht die Bundesregierung, EU-Champions als Her¬ 
steller von Hard- und Softwarekomponenten von KRITIS-Infrastruktur 
oder die Ansiedlung von Produktionskapazitäten außereuropäischer Hard¬ 
ware- und Softwarehersteller in Deutschland oder Europa zu fördern, um 
eine weitgehend EU-autarke Versorgung zu gewährleisten? 

a) Welches Finanzvolumen wäre nach Meinung der Bundesregierung für 
eine solche Förderung notwendig? 

b) Welcher Zeitraum wäre nach Meinung der Bundesregierung für eine sol¬ 
che Förderung notwendig? 

Nationale Fördermaßnahmen für Unternehmen sind aufgrund der auf EU-Ebene 
vollharmonisierten Beihilfevorschriften nicht bzw. nur sehr eingeschränkt mög¬ 
lich. Eine im Sinne der Fragestellung intendierte Form der Förderung könnte aber 
z. B. im Rahmen der von der Kommission erlassenen Mitteilung über wichtige 
Vorhaben von gemeinsamem europäischem Interesse (Important Projects of 
Common European Interest - IPCEI) erfolgen, die dazu beitragen sollen, dass vor 
allem große Vorhaben gefördert werden können, die das Wirtschaftswachstum, 
die Beschäftigung und die Wettbewerbsfähigkeit Europas spürbar erhöhen. 
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17. Hält die Bundesregierung die in dem Antrag der Fraktion der AfD „Schutz 
der Kritischen 5G-Infrastruktur vor staatsnahen Netzwerkausrüstern“ (Bun¬ 
destagsdrucksache 19/7723) aufgestellte Forderung, „im Bereich der noch 
verbleibenden Standardisierung von 5G, insbesondere im Rahmen des Third 
Generation Partnership Projects (3GPP), bis zum Jahr 2020 zusätzliche öf¬ 
fentliche Mittel zu veranschlagen, um die Wahrnehmung deutscher Interes¬ 
sen in internationalen Standardisierungsgremien insbesondere im Bereich 
der Netzwerksicherheit zu gewährleisten“, für realistisch und zielführend, 
und wird die Bundesregierung diese Forderung umsetzen? 

Die Vertretung Deutschlands in den relevanten Gremien der 5G-Standardisierung 
erfolgt v. a. durch die Bundesnetzagentur und das Bundesamt für die Sicherheit 
in der Informationstechnik. Die für die 5G-Standardisierung, insbesondere im 
Rahmen des Third Generation Partnership Projects, vorgesehenen Haushaltsmit¬ 
tel werden daher als ausreichend angesehen. 


18. Wie bewertet die Bundesregierung die in dem Antrag der Fraktion der AfD 
„Schutz der Kritischen 5G-Infrastruktur vor staatsnahen Netzwerkausrüs- 
tem“ (Bundestagsdrucksache 19/7723) aufgestellte Forderung, „bestehende 
Möglichkeiten der Ende-zu-Ende-Verschlüsselung auf Anwendungsebene 
zu bewahren und auszubauen, da sie ein hohes Maß an Sicherheit gewähr¬ 
leisten und für die Nutzer ferner transparent und nachvollziehbar sind“, und 
wird die Bundesregierung diese Forderung umsetzen? 

Die zukünftigen 5G Netze werden auch eine Ende zu Ende Verschlüsselung auf 
Anwendungsebene zulassen. Die Kryptoeckpunkte der Bundesregierung haben 
weiterhin bestand. 


19. Welche Sicherheitsrisiken sieht die Bundesregierung durch den Einsatz von 
Hardware- und Softwarekomponenten nichteuropäischer Hersteller auch im 
Bereich der Festnetzinfrastruktur, und welcher akute und strategische Hand¬ 
lungsbedarf folgt für die Bundesregierung aus dieser Risikobewertung? 

Die Bundesnetzagentur führt ihre behördlichen Aufsichtstätigkeiten im Mobil- 
funk- und auch Festnetzbereich grundsätzlich hersteller- und technologieunab¬ 
hängig durch. Weiterführende Erkenntnisse zu Risiken bei Beteiligung außereu¬ 
ropäischer Unternehmen liegen bei der Bundesnetzagentur nicht vor. 




Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com 
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de 
Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de 

ISSN 0722-8333 



